É seguro, e sua DA não é vulnerável (embora eu me sinta obrigado a perguntar exatamente o que você está tentando protegê-la, se não por outro motivo que você pense sobre isso - a segurança é um processo , não um produto ou uma tecnologia).
Isso é o que o Kerberos faz , portanto, de fato, o Active Directory não é totalmente inseguro , como você parece pensar. E, como você está executando o Server 2008, aqui está algo sobre como configurar manualmente as tipo de criptografia para comunicações Kerberos . Sua entrada anterior também é muito boa, pelo menos no que diz respeito a explicações mais aprofundadas sobre criptografia, e ele disseca uma troca do Kerberos da amostra . Não é minha ideia de um tempo divertido, mas é bem tolerável.
(Tenha cuidado com essas configurações se você tiver algum cliente XP. A compatibilidade fica arriscada com versões domésticas, qualquer coisa pré-SP3 e algoritmos mais strongs sem um hotfix que não foi enviado para o Windows Update instalado.)
Eu recomendaria ler também este artigo da Technet , que explica o IPSec (e um pouco mais sobre o Kerberos), e depois disso, se você ainda tiver dúvidas ... bem, é hora de consultar um livro, dos quais muitos foram escritos sobre o assunto.